GitHub a ajouté la prise en charge de la sécurisation des opérations SSH Git à l’aide des clés de sécurité FIDO2 pour une protection supplémentaire contre les tentatives de prise de contrôle de compte.

Des chercheurs de la North Carolina State University (NCSU) ont trouvé [PDF] il y a deux ans, plus de 100000 référentiels GitHub ont divulgué des jetons d’API et des clés cryptographiques (SSH et TLS) après avoir analysé environ 13% des référentiels publics de GitHub pendant près de six mois.

Pire encore, ils ont également découvert que des milliers de nouveaux référentiels divulguaient également quotidiennement des secrets.

Avec la fonctionnalité nouvellement ajoutée de GitHub, vous pouvez désormais utiliser des appareils FIDO2 portables pour l’authentification SSH afin de sécuriser les opérations Git et d’éviter l’exposition accidentelle de clé privée et les demandes de lancement de logiciels malveillants sans votre approbation.

« Une fois générées, vous ajoutez ces nouvelles clés à votre compte comme n’importe quelle autre clé SSH », a déclaré Kevin Jones, ingénieur en sécurité chez GitHub.

« Vous créerez toujours une paire de clés publique et privée, mais des bits secrets sont générés et stockés dans la clé de sécurité, la partie publique étant stockée sur votre machine comme toute autre clé publique SSH. »

Bien qu’une clé privée soit stockée sur votre ordinateur, il ne s’agit que d’une référence à votre clé de sécurité physique qui est inutile sans avoir accès à l’appareil réel.

«Lors de l’utilisation de SSH avec une clé de sécurité, aucune des informations sensibles ne quitte jamais le périphérique de clé de sécurité physique», a ajouté Jones. «Si vous êtes la seule personne à avoir un accès physique à votre clé de sécurité, vous pouvez la laisser branchée à tout moment.»

Pour augmenter encore la résilience de votre compte GitHub contre les tentatives de reprise, vous devez remplacer toutes les clés SSH précédemment enregistrées par des clés SSH sauvegardées par des clés de sécurité.

Cela garantit que vous êtes le seul à pouvoir gérer votre …

Voir la source de cette publication